The Effect of Social Influence on Security Sensitivity

セキュリティ対策への意識や動機を改善するために社会的影響(Social Influence)はどの程度影響しうるのか？を検証した論文（SOUPS 2014）．

書誌情報:
S.Das, H.J.Kim, L,Dabbish, J.Hong,
“The Effect of Social Influence on Security Sensitivity”,
SOUPS 2014,
Paper: https://www.usenix.org/conference/soups2014/proceedings/presentation/das

Abstract

• “Security Sensitivity”: セキュリティ(問題)に対する「気づき」、「セキュリティ保護機構を使用することに対する動機」、「保護機構(tools)の使い方に対する知識」と定義．
• ユーザのSecurity Sensitivityが高まらないことが問題．アドバイスは無視され、ツールが活用されていないのが現状
• 「過去の経験を聞くインタビュー」により”Social Influence”の効果を検証．他者の振る舞いや認識が我々にどのような影響を与えるのか？
• 調査結果
  • PrivacyやSecurityに関する振る舞いを帰るのに大きな影響を与えうる．つまり、social processはSecurity Sensitivityを向上させるのに効果がある
  • 以下のようなことが、セキュリティに関する会話を引き起こす
    • 見たり、経験した新たな脅威を他の人に警告したり保護したいという思い
    • 直面した問題を解決するために得た情報がある場合
  • 社会的にふるまいを変化させるために重要なもう1つの点は”observability”:
    他者がセキュリティ機能を使用しているのを「見る」こと

Introduction

以下のような点が、セキュリティアドバイスにしたがわず、セキュリティツールを利用しないことの原因となっている

• 利用者の多くは「脅威の存在」も、そういった脅威から保護できる「ツール」の存在も知らない
• セキュリティ対策をきちんと行うことのコストが合理的(rational)ではない．(論文[17])
• 安全対策を行うことの動機(motivation)がない．
• セキュリティツールの利用方法が難しすぎる (論文26,34)、そういたツールの運用に必要な知識(knowledge)が足りない

以下のような研究も行われたが，それでも状況は変わっていない

• ゲームによるセキュリティ教育([28])
• フィッシングへの気づきを強化するWebブラウザ拡張([35])
• セキュリティツールのユーザインタフェース改良 ([19])
• 単純で高速な個人認証 ([31])

人の振る舞いはsocial processに影響を受ける．過去の振り返りによるインタビューを通じて，以下のResearch Questionについて調査する．

• RQ1: 利用者のセキュリティツールに対する決定について，Social Influenceがどのような役割を果たしているのか？
• RQ2: どんな状況の時に人々はSecurityやPrivacyの会話をするのか？

インタビューでは以下の内容について調査

• 携帯電話での個人認証
• モバイルアプリのインストール(install)とインストール済みアプリの削除(uninstall)
• Social mediaのプライバシー設定変更
• Cyber securityやOnline privacyについて会話をした時のことを想起させた

結果として，(1) social processが利用者のセキュリティ関する振る舞いを変えるのに大きく影響し，(2) Security Sensitivityを最大化するには，SecurityやPrivacyツールの利用法を見えるようにすべき，と言えることがわかった．

— ends here